EBA will Kundenrechte stärken Besserer Schutz vor Online-Banking-Betrug
Entschädigung bei Online-Banking-Betrug zahlen Banken nur unter bestimmten Bedingungen. Das soll sich ändern: Die Europäische Bankenaufsicht will die Kundenrechte stärken.
Als am 27. Juni bei der Münchnerin Claudia P. das Handy klingelt, ahnt sie nicht, dass sie im Visier von Cyber-Kriminellen ist. Ein Mann ist dran, gibt vor Mitarbeiter ihrer Sparkasse zu sein. Er kennt ihre Daten: Adresse, Geburtsdatum und noch mehr, erinnert sich P.: "Dann habe ich gedacht, das kann nur ein echter Mitarbeiter sein, weil: Wer soll sonst meine Kontonummer und all die anderen Daten von mir haben?"
Der Anrufer fragt, warum P. ihre Push-Tan-Zugangsdaten nicht aktualisiert habe. Tatsächlich hatte die Sparkasse ihr eine Aktualisierungsaufforderung geschickt. Der Anrufer warnt, P. müsse sofort die Aktualisierung vornehmen, sonst könne sie kein Online-Banking mehr durchführen. "Er könnte mir helfen, jetzt direkt, gleich, sofort", erinnert sich die Sparkassen-Kundin.
Während des Telefonats habe er ihr eine SMS geschickt. Was P. nicht ahnt: Mit ihrem Klick auf den Link in der SMS und die Eingabe neuer Daten eröffnet sie den Kriminellen Zugang zu ihrem Online-Konto. Die SMS sieht genauso aus, als habe sie die Sparkasse verschickt. Die echte Sparkasse bestätigt sogar die Änderung ihrer Zugangsdaten per E-Mail. P. schöpft keinen Verdacht.
Betrüger plündern das Konto
Im Nu buchen die Betrüger mehrere teure Reisen und bezahlen über das Online-Konto von Claudia P.: "Es waren über 4600 Euro. Ein Riesenschreck! Und ich habe mich sofort gefragt: 'Kriegt man das wieder? Wer ist denn da eigentlich überhaupt dann verantwortlich?'" P. will ihr Geld zurück. Tatsächlich gelingt es ihrer Sparkasse, zwei Buchungen zurückzuholen. Doch auf dem verbleibenden Schaden von mehr als 2000 Euro bleibt P. sitzen. Kein Einzelfall.
Zwar heißt es in der aktuellen EU-Zahlungsdiensterichtlinie, (PSD2), es sei im Falle von Online-Zahlungen angemessen, dass die Beweislast für eine angebliche Fahrlässigkeit bei der Bank liegt; die entsprechenden Möglichkeiten des Kunden seien in solchen Fällen sehr begrenzt.
Doch mit der Umsetzung der EU-Richtlinie 2018 in deutsches Recht bleibt die Beweislast im Betrugsfall trotzdem oft beim Kunden hängen. Es gehe darum, so das Bundesjustiz- und das Bundesfinanzministerium gemeinsam auf ARD-Anfrage, Zitat: "…dass der Zahlungsdienstenutzer (also der Kunde, Anm. d. Red.) mit einem substantiierten und glaubhaften Vortrag über den Geschehensablauf darlegen kann, dass er trotz aufgezeichneter Authentifizierung den Zahlungsvorgang nicht autorisiert hat."
Autorisierung als Knackpunkt
Knackpunkt bei Fragen der Fahrlässigkeit ist also, ob der Kunde die Zahlung autorisiert hat: etwa die Freigabe per Mausklick. Die Banken prüfen laut Finanzministerium nur, ob eine Überweisung auch tatsächlich mit PIN und TAN, den sogenannten Authentifizierungskomponenten, erfolgt ist.
Beim Verbraucherzentrale Bundesverband in Berlin kritisiert man das scharf. Denn: Wie soll der Kunde nachweisen, dass er die Autorisierung einer Zahlung nicht selbst veranlasst hat, so Dorothea Mohn vom Verbraucherzentrale Bundesverband. Wenn die Bank sage, bei ihr sei alles in Ordnung, so Mohn, "dann wandert die Beweislast plötzlich zum Verbraucher, der beweisen muss, dass er nicht grob fahrlässig gehandelt hat. Und in aller Regel fällt es dem Verbraucher sehr schwer, diesen Beweis zu führen - mit der Konsequenz, auf seinem Schaden sitzen zu bleiben."
Undurchsichtige Abläufe
Der Münchner Rechtsanwalt Marc Maisch, der Claudia P. vertritt, hält es für falsch, dass die Sparkasse den verbleibenden Schaden nicht ausgleichen will. Er geht davon aus, dass seiner Mandantin kein Fahrlässigkeitsvorwurf zu machen sei. Die Analyse des Falls ergibt für den Anwalt, dass die eingegangene SMS von der Sparkasse stamme.
"Der Fall ist so kompliziert. Und grobe Fahrlässigkeit - unter uns gesprochen - das sind Fälle, wo man sich mit der flachen Hand an die Stirn schlägt, weil sie so dumm sind." Das sehe er hier nicht so, so Anwalt Maisch. "Von daher gehe ich davon aus, dass die Mandantin einen Rückzahlungsanspruch hat gegen ihre Bank. Und das würden wir dann auch weiterbetreiben."
Die Sparkasse Niederbayern-Mitte sieht den Fall anders. Auf Anfrage teilt man uns mit, P. habe die SMS an die Betrüger geschickt und nicht umgekehrt. Es ist also wie so oft: Bei der Beweisführung haben die Kunden das Nachsehen.
Zahlungsdiensterichtlinie soll besser schützen
Die EU-Kommission hat erkannt, dass die aktuelle Zahlungsdiensterichtlinie (PSD2) Bankkunden nicht ausreichend schützt und arbeitet an einer neuen Richtlinie. Dazu hat sie die Meinung der Europäische Bankenaufsichtsbehörde, kurz EBA, eingeholt. Die EBA habe zahlreiche Empfehlungen abgegeben, wie die Richtlinie verbessert werden sollte, erläutert Behördensprecher Dirk Haubrich, und zwar wegen "mangelnder Klarheit und abweichender Auslegungen in den Mitgliedstaaten.
Auch wegen der unterschiedlichen Auslegungen bei den Banken. Die Definition von grober Fahrlässigkeit war eine dieser 200 Empfehlungen, die wir der Kommission vorgeschlagen haben." Die EBA weist in einer Studie darauf hin, dass knapp 70 Prozent der Schäden bei Online-Banking-Betrug die Kunden tragen. Deutschland hatte zu der Untersuchung keine Daten geliefert.
Auf Anfrage teilt die Sparkasse zuletzt mit, Zitat: 'Wir prüfen gerade intensiv, welche Möglichkeiten es zur Kulanzregelung in diesem Fall gibt." Obgleich Claudia P. froh wäre, wenn sie Geld zurück bekäme, stört sie sich an diesem Vorgehen: "Kulanz ist so das Kleinste oder das Goodie, wenn man so will. Ich glaube, dass da einfach der Verbraucher viel mehr geschützt werden muss." Dass die Wege der Hacker oft schwer belegbar sind, darunter sollten keinesfalls die Kundinnen und Kunden leiden.